С 1 сентября 2022 года законодательство о персональных данных в России претерпело революционные изменения в части реагирования на инциденты. Теперь операторы не имеют права замалчивать проблемы. Главная обязанность, за нарушение которой грозят огромные штрафы, — это своевременное уведомление регулятора. Тема «Сообщение об утечке в Роскомнадзор сроки» является одной из самых горячих, так как закон дает компании экстремально мало времени на реакцию — всего 24 часа. Опоздание даже на час уже считается нарушением.
Статья 21 Федерального закона № 152-ФЗ «О персональных данных» (часть 3.1) четко регламентирует таймлайн действий оператора при выявлении неправомерного или случайного доступа к данным. Законодатель разделил процесс уведомления на два этапа: первичное сообщение (в течение 24 часов) и результаты внутреннего расследования (в течение 72 часов). Этот жесткий регламент направлен на то, чтобы государство оперативно получало информацию об угрозах гражданам.
24 часа: Первичное уведомление
Отсчет времени начинается с момента *выявления* инцидента оператором. Это может быть момент срабатывания DLP-системы, получение письма от хакеров или звонок от клиента, нашедшего свои данные в сети.
В течение суток вы обязаны направить в РКН уведомление, содержащее:
- Описание произошедшего инцидента (что случилось).
- Предполагаемые причины (взлом, инсайд, сбой).
- Предполагаемый вред правам субъектов ПДн.
- Принятые меры по устранению последствий.
- Сведения об уполномоченном лице (контакт для связи).
Важно: на этом этапе не нужно знать всё. Главное — заявить о факте. Подать уведомление можно через специальную форму на сайте Роскомнадзора или через Госуслуги.
72 часа: Результаты расследования
Второй дедлайн наступает через трое суток с момента выявления (не с момента подачи первого уведомления!).
К этому времени компания должна провести внутреннее расследование и сообщить:
- Точные причины инцидента (технический анализ вектора атаки).
- Сведения о лицах, действия которых стали причиной нарушения (виновные).
- Итоговые меры по минимизации ущерба.
Если расследование затягивается, закон не предусматривает продления сроков. Неподача второго уведомления — это тоже нарушение.
Стратегия соблюдения сроков
Как успеть все сделать и не ошибиться?
- Заранее подготовленные шаблоны. В компании должен быть утвержден регламент реагирования, где уже лежат черновики уведомлений. В момент кризиса некогда формулировать юридические фразы.
- Круглосуточный канал связи. Если утечка произошла в пятницу вечером, срок истекает в субботу вечером. Роскомнадзор принимает уведомления 24/7. Выходных для сроков не существует.
- Осторожность в формулировках. В первичном уведомлении лучше использовать слова «предполагается», «возможно», чтобы не связать себя признанием вины, если позже выяснится, что утечки не было или она была меньше.
Ответственность за нарушение сроков
Неподача или несвоевременная подача уведомления влечет административную ответственность по ст. 19.7 КоАП РФ (непредоставление сведений) или, что хуже, может рассматриваться как отягчающее обстоятельство при назначении штрафа за саму утечку (ст. 13.11 КоАП). В условиях введения оборотных штрафов, сотрудничество с регулятором и соблюдение тайминга — единственный способ снизить финансовый удар по компании.
Мы помогаем клиентам в режиме «горячей линии»: готовим и подаем уведомления, консультируем IT-команду по формулировкам причин инцидента и сопровождаем процесс расследования.
- Юридическая помощь в решении проблемных ситуаций
- Консультации юриста онлайн проводятся Пн-Пт, с 10:00 до 18:00 часов